Dauerbrenner Emotet : Aktuelle Aufhänger für Social-Engineering sowie Modularität sorgen für regelmäßige Comebacks der Malware

Von Gerhard Giese, Paderborn

Laut des Data Breach Investigations Report 2020 von Verizon [1] spielt mittlerweile bei 22 % aller Angriffe Social-Engineering eine Rolle. Cyberkriminelle konzentrieren sich gern auf menschliches Verhalten anstatt auf Software- oder Systemschwachstellen abzuzielen. Eine der wichtigsten Methoden ist das Phishing, bei dem Kriminelle gezielt mit sozialer Manipulation arbeiten: Hier reicht ein emotionaler Aufhänger in einer E-Mail meist aus, um Menschen zu überlisten, um Informationen preiszugeben oder ungewollt Malware auf ihrem Endgerät zu installieren. Eine Schadsoftware, die im Zusammenhang mit Phishing derzeit besonders häufig genutzt wird, ist – wieder einmal – Emotet.

Der Dauerbrenner Emotet, auch bekannt als Geodo und Mealybug, wurde bereits 2014 zum ersten Mal identifiziert und ist eine der am weitesten verbreiteten Formen von Malware auf Basis von Word-Makros. Die Schadsoftware richtete sich ursprünglich gegen Finanzdienstleister und fungierte als Trojaner, um Bank- oder Kreditkartendaten von den jeweiligen Hosts zu stehlen. Im Laufe der Zeit wurde Emotet auf Spam-Mails und Malware-Bereitstellungsdienste erweitert – eine modulare Architektur und wurmartige Funktionen zur selbsttätigen Verbreitung in lokalen Netzen, neuerdings sogar über WLAN [2], tragen erheblich zur fortdauernden Popularität der Malware bei Cyberkriminellen bei. Unlängst wurden in Deutschland auch etliche Behörden zum Opfer des Schädlings [3].

Emotet erweist sich als eine der kostspieligsten und erfolgreichsten Malwares. Sie kann signaturbasierte Scanning-Tools umgehen und nutzt Techniken zum Raten oder Knacken von Passwörtern, um sich schnell über ein Netzwerk auszubreiten und weiteren Schaden anzurichten. Nach Angaben des US-Heimatschutzministeriums kostete die Behebung von Emotet-Infektionen Staats- und Kommunalverwaltungen in den USA schon bis zu einer Million Dollar pro Vorfall [4].

Pandemie hat Emotet-Verbreitung befeuert

Bereits im März nutzten Cyberkriminelle kurz nach Ausbruch der Corona-Pandemie die Angst und Unsicherheit der Bevölkerung auch dazu, um Angriffe auf Unternehmen zu starten. Angreifer setzen die bewährte Emotet-Malware ein, um Covid-19-Themenkampagnen gegen ahnungslose Internetnutzer und Angestellte in Behörden und Unternehmen zu lancieren. In Phishing-E-Mails wurden Adressaten zum Beispiel aufgefordert, einen Link anzuklicken, um sich über neue Covid-19-Infektion in ihrer Gegend zu informieren.

Die Malware-Versender verwenden in der Regel Phishing-E-Mails, die Logo und Stil offizieller und vertrauenswürdiger Absender, beispielsweise der Gesundheitsbehörde WHO oder dem U.S. Centers for Disease Control (CDC), benutzen – beim Klick auf eine URL wird allerdings der Download der Emotet-Malware auf den Computer ausgelöst. Ob nun Covid-19 oder ein anderes Thema: Ein aktueller Anlass sorgt häufig dafür, beim Empfänger heikler E-Mails Interesse zu wecken und erhöht so die Wahrscheinlichkeit, dass ungewollt Malware installiert wird.

Emotet kommt zwar längst nicht nur in Verbindung mit Corona zum Einsatz, die Pandemie hat für die Verbreitung der Malware allerdings wie ein Katalysator gewirkt: Auswertungen von Akamai haben ergeben, dass ab Mai – während der Hochphase der Corona-Pandemie – zahlreiche neue Domains registriert und nur wenige Wochen später in Verbindung mit Emotet benutzt wurden (vgl. Abb. 1). Die Grafik ermöglicht auch Rückschlüsse auf die zu erwartende Entwicklung von Emotet: Aufgrund der Peaks des roten Graphen gehen Sicherheitsexperten davon aus, dass die Malware in naher Zukunft weiter erhebliche Relevanz haben wird. Im Juli und August sind bereits verschiedene große Kampagnen mit der Malware beobachtet worden (vgl. etwa [5]).

Infektionsgeschehen

Emotet fungiert typischerweise als Downloader oder Dropper anderer Malware und hat seinen Ursprung damit in der Regel in einer Phishing-E-Mail mit einem Anhang oder einer vertrauenswürdig aussehenden URL. Wenn das Opfer den Anhang öffnet oder auf den Link klickt, wird unwissentlich ein Makro ausgeführt, das weitere ausführbare Daten von den Command&Control-Servern (C&C) der Cyberkriminellen herunterlädt. Nach dem Download setzt sich Emotet auf dem Host-Computer fest und versucht, das lokale Netzwerk über Verbreitungsmodule zu infizieren.

Sobald die Betreiber von Emotet in einem Netzwerk Fuß gefasst haben, verkaufen sie oft auch anderen Cyberkriminellen im Rahmen von Malware-as-a-Service-(MaaS)- oder Cybercrime-as-a-Service-(CaaS)-Programmen Zugang zu infizierten Computern. MaaS- oder CaaS-„Kunden“ schleusen dann im Rahmen eines sogenannten TripleThreat-Angriffs andere Malware wie TrickBot ein (s. a. S. 70), die zum Diebstahl vertraulicher Daten und zur Verbreitung von Ransomware wie Ryuk verwendet werden kann.

Ein typischer Emotet-Angriff teilt sich bei genauerer Betrachtung in vier verschiedene Phasen auf:

Phase 1 – Das schädliche Makro

Die meisten Emotet-Infektionen beginnen mit einem Social-Engineering-Angriff, der zum Start einer angehängten oder zum Download einer infizierten Office-Datei aus dem Internet verführt. Nach dem Öffnen mit deaktivierten Makros wird dem Benutzer in der Regel ein Bild mit solchen oder ähnlichen Anweisungen angezeigt, um ihn zum Aushebeln der Office-Makro-Sicherheit zu bewegen:

• Dieses Dokument ist geschützt.
• Dieses Dokument ist nur für Desktop- oder Laptop-Versionen von Microsoft Office Word verfügbar.
• Um das Dokument zu öffnen, folgen Sie diesen Schritten: […]
• Klicken Sie in der gelben Leiste oben auf die Schaltfläche „Bearbeitung aktivieren“.
• Sobald Sie die Bearbeitung aktiviert haben, klicken Sie bitte in der gelben Leiste oben auf die Schaltfläche „Inhalt aktivieren“.

Das infektiöse Dokument enthält meist Formulare und Einzelfunktionsmodule, die dazu verwendet werden, um ein PowerShell-Skript zu verschleiern, das den Computer des Opfers kompromittiert. Aufgrund des häufig zufälligen Layouts ist es schwierig, Regeln aufzustellen, um den Angriff mithilfe von signaturbasierten SicherheitsTools einzudämmen.

Phase 2 – Das PowerShell-Skript

Nach dem Herunterladen durchläuft das verschleierte PowerShell-Skript eine Liste von C&C-Domänennamen und versucht, die nächste Stufe des Angriffs auf den kompromittierten Computer herunterzuladen – genauer gesagt nach C:windowstempputty.exe.

Phase 3 – Payload-Abruf

Wenn der Download erfolgreich ist, wird die heruntergeladene Datei ausgeführt – tritt ein Fehler auf, probiert das Skript die nächste URL. Falls alle Downloadversuche fehlschlagen, bricht das Skript ab und das Gerät bleibt unbeschädigt. Im Allgemeinen liefert die besuchte Website lediglich die Payload zurück.

Phase 4 – Aktivierung

Sobald die heruntergeladene Datei ausgeführt wird, ist der Computer infiziert und den schädlichen Funktionen der nachgeladenen Payload ausgeliefert.

Tipps zur Abwehr

Um die Sicherheitslage von Unternehmen zu stärken und vor Emotet und anderen Malware-Angriffen zu schützen, helfen bereits grundlegende Vorsichtsmaßnahmen:

• Aufklärung aller Nutzer: Schulungen für Anwender können helfen, das Sicherheitsbewusstsein zu erhöhen. Schulungsteilnehmer sollte man aktuell besonders darauf hinweisen, sich vor Betrugsversuchen im Zusammenhang mit Covid-19 und vor E-Mails von unbekannten Absendern zu schützen – allem voran vor E-Mails mit Anhängen oder Links.
• Durchführung von Sicherheitsaudits und Penetrationstests: Durch Untersuchungen der Sicherheitsarchitektur, von Systemen und Tätigkeitsbereichen des Unternehmens durch Penetrationstests werden Angriffe simuliert, Lücken und Schwachstellen identifiziert und die Verteidigung gestärkt.
• Aktualisieren des Bereitschaftsplans für die Cybersicherheit: Seinen Bereitschaftsplan für die Sicherheit sollte man hinsichtlich angemessener Pläne für Geschäftskontinuität und Notfallwiederherstellung prüfen, um kritische Systeme im Fall eines Angriffs am Laufen halten zu können. Außerdem sollte eine eventuell abgeschlossene Cybersicherheitsversicherung auf dem neuesten Stand sein.
• Ein neuer Blick auf die eigene Sicherheitsstrategie: Wohldurchdachte Malware-Angriffe können Backup-Dateien löschen oder verschlüsseln und so Wiederherstellungsmöglichkeiten sabotieren. Um Backups vor Angriffen weitgehend zu schützen, sollte man mehrstufige Backup-Strategien mit Cloud-Storage, Offline-Backup oder unveränderlichem Speicher einführen.
• Verhindern von Malware-Kommunikation: Physische und virtuelle Netzwerke und Funktionen im gesamten Unternehmen sollten segmentiert und abgetrennt werden, um unnötige übergreifende Kommunikation zu begrenzen.
• Deaktivieren lokaler Verwaltungskonten: Angreifer und Malware können privilegierte Konten verwenden, um sich unbemerkt lateral („seitwärts“) in einem Netzwerk zu bewegen, Daten zu stehlen und Schaden anzurichten. Dieses Risiko sollte minimiert werden, indem man das Prinzip der geringstmöglichen Privilegien (Least Privilege) beachtet und lokale Administratorkonten deaktiviert.
• Verteilen von neuesten Updates und Patches: Alle Endpunkt-Betriebssysteme und -Anwendungen sollten die neuesten Software-Updates und Sicherheits-Patches nutzen.
• Implementieren von Tools zum Scannen von Mail-Inhalten: Inhaltsfilter oder Sandboxing können helfen, um Anhänge oder Dateien, die nicht von Antiviren-Software gescannt werden (z. B. große zip-Dateien), zu blockieren, da diese häufig mit Malware (dll- und exe-Dateien) verbunden sind.
• Einsatz von DNS- und Secure Web-Gateway-Sicherheitslösungen: Um das Infektionsrisiko zu minimieren, benötigt man einen Sicherheitsansatz, der alle Phasen eines Angriffs abdeckt. Aufgrund der Komplexität von Emotet bieten ältere Sicherheitslösungen wie Firewalls oder Endpoint-Anti-Malware-Programme nicht das benötige Schutzniveau. Ein alternativer Ansatz besteht darin, ein cloudbasiertes Secure-Web-Gateway zu verwenden, das mehrere funktionale Ebenen enthält, die Emotet so früh wie möglich in der Kommunikation während des Angriffs identifizieren und blockieren. Um heruntergeladene Malware zu blockieren, überprüft eine solche Lösung alle DNS- und URL-Anfragen ihrer Benutzer und vergleicht diese Anfragen mit Echtzeit-Bedrohungsinformationen, um den Zugriff auf bösartige Webseiten zu blockieren. Die dazu genutzten Bedrohungsinformationen sollten weltweit erhoben werden, denn oft sind regional auftretende Angriffe bereits aus anderen Ländern oder Regionen bekannt.

Fazit

Für cloudbasierte SecureWeb-Gateways spricht noch ein weiterer Punkt: Denn Cyberkriminelle erstellen nicht nur spezifische Domänen zur Bereitstellung von Malware, sondern kompromittieren auch legitime Websites, um Nutzer dann beispielsweise durch eine Phishing-Kampagne oder bösartige Werbung (Malvertising) dorthin zu leiten. Cloudbasierte Gateway-Lösungen bieten hiergegen mit mehreren Malware-Engines eine Vielzahl von Analysemöglichkeiten: Verschiedene Techniken und Erkennungsansätze ermöglichen größtmöglichen Schutz vor Schadsoftware – letztlich gibt es aber keine vollständige Garantie, eine initiale Kompromittierung in einem Netzwerk komplett zu blockieren. Daher ist immer die Annahme hilfreich, dass jedes Gerät kompromittiert werden oder schon sein könnte (Zero-Trust-Paradigma).

IT-Sicherheitsbeauftragte können gegen Cyberkriminelle nur dann einen Vorsprung erreichen, wenn sie konstant wachsam sind. Denn Cyberkriminelle sind permanent damit beschäftigt, ihren nächsten Angriff zu planen, wobei besonders auf Emotet bezogene Attacken Unternehmen verheerenden Schaden zufügen können. Durch proaktive Cybersicherheit, wie die kontinuierliche Überwachung der Bedrohungslandschaft sowie Bewertung und Verbesserung von Sicherheitssystemen und -praktiken, können Unternehmen mit Angreifern Schritt halten und einen bestmöglichen Schutz implementieren.

Gerhard Giese ist Industry Strategist bei Akamai Technologies.

Literatur

[1] Verizon, Data Breach Investigations Report 2020, Mai 2020, https://enterprise.verizon.com/de-de/resources/reports/dbir/ (Registrierung erforderlich)
[2] Jürgen Schmidt, Malware Emotet greift WLANs an, Februar 2020, https://heise.de/-4655284
[3] Moritz Tremmel, Emotet – Behörde bleibt wegen Cyberangriffs leider geschlossen, golem.de, März 2020, https://glm.io/146966
[4] Cybersecurity & Infrastructre Security Agency (CISA) / US-CERT, Emotet Malware, Alert TA18-201A, Juli 2018 (akt. Januar 2020), https://us-cert.cisa.gov/ncas/alerts/TA18-201A
[5] LKA Niedersachsen, Erneut massive Verbreitung von Emotet, August 2020, https://www.polizei-praevention.de/aktuelles/erneut-massive-verbreitung-von-emotet.html